馬駿

【關(guān)鍵詞】計算機安全 防火墻技術(shù) 網(wǎng)絡(luò)安全 新型

隨著科學技術(shù)的進步和社會的發(fā)展，計算機技術(shù)已經(jīng)滲透到各個行業(yè)和人們的日常生活中。然而，在計算機普及的同時，人們面臨著巨大的網(wǎng)絡(luò)安全問題的挑戰(zhàn)。防火墻技術(shù)能夠有效避免網(wǎng)絡(luò)安全中的各種侵犯，保障網(wǎng)絡(luò)信息安全。

1 防火墻技術(shù)的分類

根據(jù)防火墻的保護原理和工作機制，可以把防火墻大致分為如下兩類：分組過濾型、代理服務型。不同的防火墻類型具有不同的防護性能。

1.1 分級過濾型

分級過濾型防火墻也叫做包過濾路由器。在轉(zhuǎn)發(fā)分組時，需要在網(wǎng)絡(luò)層檢查分組中的一些內(nèi)容。分級過濾型防火墻的基本原理為：依據(jù)一定的網(wǎng)絡(luò)安全策略，制定相應的分組過濾規(guī)則。在轉(zhuǎn)發(fā)分組時，依據(jù)規(guī)則對分組進行過濾檢查。其中，過濾檢查的主要內(nèi)容為IP地址、TCP/UDP端口號和協(xié)議狀態(tài)等。

分組過濾有一定的規(guī)則，而不同的規(guī)則要有序排列，依次進行。分級過濾型防火墻具有過濾速度快、效率高的優(yōu)點。除此之外，對于整個網(wǎng)絡(luò)，僅使用一個過濾路由器即可。當然，分級過濾型防火墻具有難以克服的缺點，即對過濾的地址沒有絕對的監(jiān)控能力。同時，有些安全策略不完全可用，對某些數(shù)據(jù)包無法監(jiān)測。因此，分級過濾型防火墻難以高效防范外界的網(wǎng)絡(luò)安全攻擊。

1.2 應用代理型防火墻

1.2.1 應用級網(wǎng)關(guān)

不同的用戶對網(wǎng)絡(luò)服務的要求不同，其選擇的應用代理型防火墻的隔離作用不同，因而應用代理型防火墻的安全策略也不盡相同。應用代理型防火墻的代理服務本質(zhì)上為程序，運行在防火墻主機上。而應用代理型防火墻本身相當于一個隔離點，位于計算機網(wǎng)絡(luò)中的內(nèi)部網(wǎng)與外部網(wǎng)之間，可以有效地檢查內(nèi)部網(wǎng)與外部網(wǎng)之間的流通信息。不僅如此，應用代理型防火墻自身還有處理信息的作用，當在內(nèi)部網(wǎng)與外部網(wǎng)之間發(fā)現(xiàn)不良信息時，可以對其進行有效地隔離，使其不能在內(nèi)部網(wǎng)與外部網(wǎng)之間進行流通。

1.2.2 電路級網(wǎng)關(guān)

電路級網(wǎng)關(guān)具有很好的靈活性和透明性。其工作原理是通過修改的客戶端來工作，把TCP連接從可信任網(wǎng)絡(luò)中繼到非信任網(wǎng)絡(luò)。

分級過濾型防火墻的安全策略不能監(jiān)測所有的數(shù)據(jù)包，而應用代理型防火墻能夠完全阻斷內(nèi)部網(wǎng)與外部網(wǎng)之間的直接通信。當內(nèi)部網(wǎng)訪問外部網(wǎng)時，需要先訪問分級過濾型防火墻，再對防火墻對外部網(wǎng)進行直接訪問。同理，當外部網(wǎng)需要訪問內(nèi)部網(wǎng)時，也必須通過防火墻來進行間接訪問。同時，應用級網(wǎng)關(guān)可以對應用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議進行檢查。

2 新型防火墻技術(shù)

如前所述，分組過濾型防火墻和代理服務型防火墻都有一定的缺陷和優(yōu)點。迫于當前計算機技術(shù)的高速發(fā)展和對網(wǎng)絡(luò)安全的苛刻要求，在整合里分組過濾型、代理服務型防火墻的優(yōu)缺點，形成了新型的防火墻技術(shù)：狀態(tài)檢測型防火墻。狀態(tài)檢測型防火墻被稱為第三代防火墻技術(shù)。狀態(tài)檢測防火墻在包過濾功能上進行改進，采用狀態(tài)檢測包過濾的技術(shù)進行工作。

TCP/IP協(xié)議的最底層是數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層可以對IP或者AEP的數(shù)據(jù)進行物理幀的封裝與拆封。除此之外，數(shù)據(jù)鏈路層還具有其它功能，如：硬件尋址、管理等等，在狀態(tài)檢測型防火墻中，數(shù)據(jù)鏈路層增加了一些其它功能，如：監(jiān)視數(shù)據(jù)。記錄硬件地址和讀寫網(wǎng)卡等。這些功能優(yōu)化了防火墻的作用。

IP層處在數(shù)據(jù)鏈路層的上層，可以進行分組傳輸和路由選擇，處理各種網(wǎng)絡(luò)安全工作，提供安全機制。而在新型的狀態(tài)檢測防火墻中，采用包過濾技術(shù)等來進行網(wǎng)絡(luò)安全工作。

ICMP在狀態(tài)檢測防火墻中主要承擔隱藏子網(wǎng)內(nèi)主機信息的作用，同時，也可以進行部分控制。

總的來說，狀態(tài)檢測防火墻克服了分組過濾型、代理服務型防火墻的一些缺點，改進了一些功能，在其核心部位建立了狀態(tài)連接表，根據(jù)狀態(tài)連接表實現(xiàn)對會話的跟蹤。不僅如此，狀態(tài)檢測還依據(jù)了會話狀態(tài)的符合情況來檢查數(shù)據(jù)包，對傳輸層具有完全的控制能力。

3 結(jié)束語

作為網(wǎng)絡(luò)信息傳輸過程中的安全衛(wèi)士，防火墻是連接內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的中轉(zhuǎn)站。為了有效地應對網(wǎng)絡(luò)信息攻擊，切實維護網(wǎng)絡(luò)安全，必須不斷地改進防火墻技術(shù)，以克服防火墻已有的弊端，應對新形勢下的網(wǎng)絡(luò)安全。狀態(tài)檢測型防火墻雖然在一定程度上優(yōu)于分組過濾型、代理服務型防火墻。但是考慮到狀態(tài)檢測型防火墻依然存在一些問題，如在IP層，狀態(tài)檢測型防火墻舍棄了修改IP報頭和增加安全機制的方法，而使用包過濾技術(shù)來提供安全機制。狀態(tài)檢測型防火墻忽略了前者在方法處理上的優(yōu)點。因此，在使用新型防火墻技術(shù)的同時，不能忽略對其的優(yōu)化發(fā)展。

參考文獻

[1]劉璇.互聯(lián)網(wǎng)通訊網(wǎng)絡(luò)安全防護[J].煤炭技術(shù)，2011（06）.

[2]占科.計算機網(wǎng)絡(luò)防火墻技術(shù)淺析[J].企業(yè)導報，2011（11）.

[3]張俊偉.計算機網(wǎng)絡(luò)安全問題分析[J].包頭職業(yè)技術(shù)學院學報，2012，（4）：25.

[4]姜可.淺談防火墻技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應用及研究[J].計算機光盤軟件與應用，2013，（4）：33.